3.2 系统主要功能实现方法
3.2.1 共享信息交换
① 信息交换标准。 协作信息交换标准定义平台中协作共享数据的比对及各个应用所需要的数据的结构的数据交换标准, 核心包括标准的各类属性维护[5](如数据结构、过滤条件、宿主信息等等), 并实现新建、修改或删除等标准化操作。
② 信息映射管理。 主要规范信息标准数据源管理。 以 XML 主体结构保存定义内容, 主要实现维护交换标准、数据交换标准定义信息的输入以及内部数据结构的映射关系表, 包括组合对应、位置描述、类型匹配、数据项间的对应及相互转换等等。
③ 信息交换流执行。 实现数据的接收、验证, 流程定义的分析、根据流程标准实施的数据交互[6]. 重点是信息交互过程中的日志事务管理、管理员身份识别与权限控制、消息队列管理、交换数据存储实现。 主要流程实现是通过读入预设的信息交换流程, 启动数据交换过程, 并根据流程设定执行具体事务的单发、并发等交换流程操作。
3.2.2 接入管理系统
由于各协作部门间业存在 Sybase、Oracle、MSSQL、Access 等异构数据库, 在各协作业务接入点向管理协作平台注册时, 系统通过预设机制检测接入点属性信息, 如验证成功后接入管理协作平台。 为实现业务系统数据共享与安全的统一, 平台根据实际定制不同的共享接入点, 将采用共享发布机制将接入信息发布至平台上, 接入管理系统根据各协作业务数据源, 按实际需求实时来修改共享接口[7], 满足协作用户对数据的需求, 并完成对接入点的新增、修改、删除、查询等具体功能。
3.2.3 交换管理系统
协作平台交换管理系统从部门的业务系统获取数据后, 传送到中心数据库, 再通过中心数据库分发到业务系统, 从源到目的涉及不同网络架构, 不同数据库的异构系统, 通过存储、过滤转换、定向转发实现信息交换。
交换子系统在协作部门间配置交换设备, 一方面使之成为沟通信息交换总线相连接的堡垒, 另一方面也用于隔离信息收发相关部门业务库。 如图 2 所示, 前端交换管理平台利用消息中间件作为信息交换通道[8],与交换服务器的信息交换通道共同构成交换网络总线,以此实现业务库与交换库之间的信息交换桥接功能,具体实现时, 发送部门前端交换通过应用适配器系统实现从部门交换信息库提取数据发送到信息交换总线、接收部门通过应用适配器从信息交换总线上获取数据存储至部门交换库。
3.2.4 运行监控平台
由于卷烟协作管理协作平台的运行记录不仅是进行协作监控的重要依据, 还是进行协作业务审计的重要基础。 主要包括各类数据交换与应用状态的监控,包括:
① 查询、统计与审计数据流量;② 查询和监控管理协作平台自身运行状态;③ 远程监控管理协作平台操作规范。
在监管环节上, 实现前置交换适配器监控、运行监控、数据库运行监控三个环节。 适配器监控平台对桥接服务实行数据传输量监控, 主要包括历史数据统计、速率监控各种组件运行状态及日志情况等监控指标。 前置交换运行监控主要实现对分布在不同物理位置的前置交换系统状态进行监控, 及早发现异常节点。数据库运行监控实现数据交换平台涉及中心数据库,实时了解各节点数据状态[9].
4 平台安全威胁与风险分析
4.1 系统威胁与风险
卷烟市场管理协作信息共享平台将汇集各协作部门间大量的数据, 安全问题至关重要。 从管理、技术等各方面, 通过严格的身份验证和权限控制, 确保每个人都只能看到与其行政授权范围数据, 而无法越权越级访问数据, 确保数据安全使用。
4.2 安全需求分析
为了使协作平台防备上述的风险威胁, 一方面从应用及信息安全需求, 主要解决各类操作的身份鉴别问题, 通过对数据的访问控制和授权、及相关数据完整性。 另从安全管理需求来分析, 主要分析解决协作机制各制度的完善、信息协作策略的制定、平台操作人员的安全意识培训等, 并实现与技术保障紧密结合,形成完备的交换系统的安全运行体系。 主要解决以下问题:
① 数据备份问题。
② 管理协作平台操作身份鉴别。
③ 管理协作平台的信息资源管理, 分级访问和分组共享机制。
④ 敏感数据的加密问题, 重要信息的多级安全保护及关键操作的抗抵赖问题。
⑤ 协作机制下权力滥用, 越权越级访问及信息恶意篡改等。
⑥ 平台运行管理安全问题。
4.3 系统主要安全设计
4.3.1 身份认证和授权管理设计
为了保证前置交换及中心交换平台数据的合法访问, 通过建立平台统一的认证网关和用户验证、授权管理系统, 实现到从业务库到中心库数据级、应用级二级认证。 主要手段包括身份认证及授权访问的过程控制。
在管理流程上, 通过建立使用者申请、信息提供方授权的工作机制, 数据抽取过程都经过数据源部门授权。
在技术上实现上包括以下的安全措施: 通过针对接入用户(业务库提供方)的身份认证和授权访问控制:
一方面利用OpenSSL搭建PKI环境, 利用Web Service访 问 的 安 全 性 采 用 WS-Security 和 WS-SecureConversation 技术进行保障[10], 另一方面从在平台调用数据交换及应用适配器向平台发送, 并在交换平台读取协作数据时, 通过身份权限等的检查, 数据通过审查的合法用户进行授权操作来保证连接安全。
4.3.2 数字证书认证
系统实现支持内部的 CA 证书系统, 可以和外部独立的 CA 认证系统连接进行认证。 对于共享的数据,公有信息部分, 用户登陆后都可以访问发送到公共的队列中的信息, 对于保存到私有队列中私有信息, 访问用户需要授权后才能进行访问。
4.3.3 数据交换过程安全保障
数据交换过程的安全保障通过支持 HTTPS 传输协议, 通过 SSL 链路实现数据防篡改、数据加密等功能主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
5 结语
本方案通过 SOA 技术的应用, 实现卷烟市场监管协作部门业务系统间各异构数据库之间的数据集成,实现原有各业务系统的在数据级集成, 保证异构数据库之间的数据交换与信息共享, 实现了卷烟市场行政执法协作部门间信息共享, 业务协同应用, 实现协作部门由浅表式、单一式的协作模式向深层次、全方位协作的转变, 对于提升烟草市场管理的信息化水平,实现专卖执法上水平具有积极意义。 但与此同时, 数据互通的桥梁虽已建立, 但数据价值体现与数据挖掘等技术息息相关, 对如何发挥数据的最大价值, 发挥数据的潜在能量是下一步协作部门需要重点研究的课题。
参考文献
1 龚立群,高琳。跨部门政府信息资源共享影响因素的实证研究。情报资料工作,2012(4): 12–14.
2 赵海霞。Web 环境下的协作知识建构。现代教育技术,2012(1): 22–24.
3 卢致杰 , 覃 正 .SOA 体 系 设计方法 研 究 . 工业 工 程 ,2004(6):21–23.
4 魏东,陈晓江。基于 SOA 体系结构的软件开发方法研究。微电子学与计算机,2005(6):22–24.
5 蔡亭友。基于 SOA 架构的企业应用集成(EA1)研究。微计算机信息,2011(2):37–40.
6 毛新生。SOA 原理·方法·实践。北京:电子工业出版社,2007.
7 黎波。邱会中。基于 SOA 的数字办公--统一身份认证服务的设计与实现。福建电脑,2007(1):16–17.
8 高岩,张少鑫。基于 SOA 架构的 Web 服务组合系统。小型微型计算机系统,2007(4):29–31.
9 孙华林,赵正文。基于 Web Service 的面向服务架构(SOA)的探索与研究。信息技术,2007(11):33–35.
10 王金玲,朱诗生,符群卫。基于 Web Service 的 SOA 软件部署的研究。现代电子技术,2007(4):15–18.
